Czy podczas pracy zdalnej można korzystać z dokumentów papierowych zawierających dane osobowe?

Jeśli pracownik na co dzień w miejscu stałego wykonywania obowiązków służbowych operuje papierową dokumentacją zawierającą dane osobowe, to czy podczas pracy zdalnej również może z niej korzystać? Stanowisko w tej sprawie zajął Urząd Ochrony Danych Osobowych. 

  • Dorota Kraskowska
  • /
  • 4 maja 2020

Zgodnie z art. 3 specustawy w sprawie szczególnych rozwiązań związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych, pracodawca ma prawo zlecić podwładnym pracę zdalną. Może to zrobić w dowolnej formie, zarówno pisemnej, jak i ustnej lub telefonicznej. Pracodawca zlecając wykonywanie obowiązków służbowych w takiej formie musi zapewnić pracownikom niezbędny sprzęt — komputer, telefon. A co z innymi potrzebnymi do pracy materiałami, np. dokumentacją papierową zawierającą dane wrażliwe?

Kodeks pracy reguluje niektóre kwestie związane z ochroną danych osobowych w ramach telepracy, ale nie znajdziemy tam żadnych przepisów dotyczących wymogów ochrony danych osobowych podczas pracy zdalnej. Telepraca w przeciwieństwie do pracy zdalnej ma charakter stały. Pracodawca zleca pracownikowi przykładowo na 2 dni pracy w biurze i 3 dni — poza biurem. Ważne jest to, aby dni pracy poza siedzibą firmy były ustalone w stałych odstępach czasu. W przypadku pracy zdalnej nie ma tej stałości. 

Brak uregulowań zasad pracy zdalnej w Kodeksie pracy to jedno, również w specustawie koronawirusowej pracodawcy nie znajdą szczegółowych wytycznych w sprawie pracy zdalnej. Dlatego w ostatnim czasie UODO zanotował większe zainteresowanie pracodawców szczegółowymi wytycznymi w tym zakresie. 

Prezes UODO w reakcji na liczne pytania pracodawców podał szczegółowe zasady postępowania w pracy zdalnej z dokumentami zawierającymi dane osobowe. W wyjątkowych sytuacjach pracodawca może pozwolić, aby pracownik, który jest oddelegowany do wykonywania obowiązków służbowych poza miejsce stałego wykonywania pracy, mógł wykorzystywać dokumenty z tego typu danymi. W takiej sytuacji konieczne jest zastosowanie odpowiednich zabezpieczeń, bo ryzyko naruszenia bezpieczeństwa danych osobowych jest w tym przypadku większe. 

Pracownik może korzystać z papierowej dokumentacji zawierającej dane osobowe wyłącznie za zgodą pracodawcy. Obszar przetwarzania takich danych musi być jasno określony przez przełożonego.

Praca zdalna a dokumenty papierowe z danymi osobowymi

Administratorem danych osobowych przetwarzanych przez pracowników podczas pracy zdalnej jest pracodawca. I to na nim spoczywa obowiązek zapewnienia przestrzegania zasad bezpieczeństwa danych, zarówno tych przetwarzanych za pośrednictwem urządzeń elektronicznych, jak i zawartych w dokumentacji papierowej.  

Z kolei pracownik może przetwarzać dane osobowe wyłącznie w związku z wykonywaniem powierzonych mu obowiązków służbowych, z zachowaniem ustalonej przez pracodawcę polityki bezpieczeństwa i procedur w tym zakresie. 

Prezes UODO zaleca, aby pracodawca powierzając wykorzystywanie dokumentacji papierowej podczas pracy zdalnej spełnił następujące warunki:

  • w pierwszej kolejności należy zadbać o ewidencjonowanie powierzonej dokumentacji zawierającej dane osobowe, 

  • istotne jest zapewnienie ograniczonego przechowywania takich materiałów — papierowe dokumenty z danymi osobowymi mają być przechowywane przez pracownika wyłącznie na czas wykonywania określonego zadania czy projektu,

  • niezbędne jest również ograniczenie liczby dokumentów, które zdalny pracownik wynosi z siedziby administratora — powierzona dokumentacja ma być niezbędna do celu przetwarzania danych osobowych przez pracownika,

  • przenoszone dokumenty muszą być odpowiednio zabezpieczone, np. w zabezpieczonej teczce, zamykanej na kod walizce, w sposób niewidoczny dla osób trzecich, 

  • dokumenty muszą być również odpowiednio zabezpieczone w miejscu wykonywania pracy zdalnej, np. w szafkach i biurkach zamykanych na klucz, w miejscach niedostępnych dla nieuprawnionych osób trzecich, np. członków rodziny pracownika,

  • obowiązkiem pracodawcy jest zapewnienie, aby pracownik wykorzystywał powierzoną dokumentację wyłącznie w tym celu, w jakim byłaby ona wykorzystywana w stałym miejscu pracy,

  • niezbędną czynnością leżącą po stronie pracodawcy jest ustalenie procedury niszczenia dokumentów, np. zakaz wyrzucania ich do domowego kosza, konieczność odpowiedniego zabezpieczenia w celu zniszczenia ich po zakończonym projekcie (np. rekrutacja) w niszczarce znajdującej się w biurze — jeśli pracownik nie ma w domu takiego sprzętu,

  • pracodawca ma obowiązek poinstruowania pracownika o konieczności zgłoszenia każdego incydentu naruszenia bezpieczeństwa danych osobowych. Pracodawca jako administrator danych musi w takiej sytuacji wywiązać się z obowiązku, o którym mowa w artykule 33 ust. 1 Rozporządzenia RODO (zgłoszenie naruszenia danych osobowych organowi nadzorczemu nie później niż w terminie 72 godzin po stwierdzeniu incydentu).

Prezes UODO zaznacza, że jeśli nie jest możliwe zastosowanie wyżej wymienionych rozwiązań, należy rozważyć pracę na kopiach dokumentów zawierających dane osobowe. I choć praca na kopiach minimalizuje ryzyko utraty ich dostępności oraz ryzyko naruszenia integralności danych, nie oznacza to, że w takiej sytuacji można zastosować mniejsze środki ostrożności — pracownik ma obowiązek chronić na równi dane osobowe zawarte w kopii i oryginalnym dokumencie. 

Kiedy praca z dokumentacją papierową jest nieuzasadniona?

Pracownik nie powinien przenosić dokumentacji papierowej z biura do miejsca wykonywania pracy zdalnej w następujących przypadkach: 

  • pracodawca wdrożył elektroniczny obieg dokumentów, więc pracownik ma bezpieczny dostęp do niezbędnych danych osobowych za pośrednictwem środków komunikacji elektronicznej,

  • pracodawca może udostępnić zdalnemu pracownikowi odpowiednio zaszyfrowane elektroniczne kopie dokumentów zawierających dane osobowe,

  • pracodawca może szybko i bezpiecznie wdrożyć elektroniczny obieg dokumentacji w firmie.

Pracodawca ma obowiązek każdorazowo ocenić niezbędność wykorzystania przez zdalnego pracownika papierowej dokumentacji zawierającej dane osobowe. W tym celu musi uwzględnić dostępne środki, charakter danych oraz cele, dla których te dane są przetwarzane. Warto rozważyć, czy w danym projekcie nie wystarczy udostępnienie dokumentów zanonimizowanych lub zabezpieczonych szyfrem kopii elektronicznych. 

Źródło: https://uodo.gov.pl

Prezes UODO o ujawnieniu danych osób objętych kwarantannąPrezes UODO o ujawnieniu danych osób objętych kwarantanną Dorota Kraskowska

Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu ponownie!
Jeżeli podobał Ci się artykuł podziel się z innymi udostępniając go w mediach społecznościowych.

Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia, o którym mowa w artykule?

Najnowsze tematy

WSPÓŁPRACA

Blogi tematyczne

Prawo konsumenckie 2021
Blog prawa e-commerce
Prawo konsumenckie
Poradnik: wszystko o zgodzie RODO i obowiązkach informacyjnych RODO
Kliknij aby wrócić do strony głównej

Newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślemy Ci powiadomienie o najważniejszych artykułach. Dla subskrybentów newslettera przygotowujemy specjalne wydarzenia np. webinaria. Nie pożałujesz!